Protegendo ativos do governo australiano em 2020: Parte 2

Considerando alternativas para garantir as joias da coroa de uma nação

Embora a legislação obrigatória de notificação de violações tenha sido introduzida recentemente na Austrália e entre em vigor na Nova Zelândia até o final deste ano, os intrusos regularmente obtêm acesso a dados confidenciais e impactam as principais missões em segurança pública, finanças e segurança nacional. Eles também continuam manipulando dados em campanhas políticas, alterando dados de instituições de pesquisa e impactando a segurança da saúde pública.

Na primeira parte desta série Protegendo ativos do governo australiano, analisamos as descobertas recentes do relatório The Commonwealth Cyber Security Posture em 2019 e os anúncios do governo sobre o aumento de ataques contra agências e empresas governamentais da Austrália.

Um elemento-chave dessas descobertas descreve que, embora a melhoria esteja sendo feita, ainda estamos vulneráveis a crimes cibernéticos como nação. Existem recomendações táticas existentes que se concentram nos tipos de ameaças vistas recentemente e conselhos de longa data sobre disciplinas essenciais de segurança que todas as entidades não corporativas da Commonwealth devem incorporar em suas práticas de TI. No entanto, planejar além das violações inevitáveis e buscar o Zero Trust sob uma estratégia holística para conter e evitar os danos de tais eventos é fundamental para limitar a exposição de dados e propriedades intelectuais pessoais e financeiras de interesse nacional.

Em resposta aos eventos recentes, um plano governamental sob a bandeira de “a melhor defesa é o ataque”, projetado para reforçar a capacidade da Australian Signals Directorate (ASD) de perturbar criminosos cibernéticos, foi anunciado. O recrutamento e o financiamento são destinados a desenvolver capacidades ofensivas para perseguir atacantes cibernéticos no exterior, bem como compartilhar informações sobre atividades cibernéticas para reagir em tempo real. Mas o que cada agência ou empresa na Austrália e na Nova Zelândia pode fazer para tomar medidas proativas para limitar o impacto e a disseminação de uma violação, de modo que a reação seja deixada para análise e não para o pânico associado à tentativa de impedir a propagação?

Promovemos o aumento da prioridade da prática “excelente”, mas ainda não “essencial”, recomendada pelo Centro Australiano de Segurança Cibernética (ACSC), de segmentação de rede que sustenta a filosofia Zero Trust, para repensar o paradigma de “manter os bandidos afastados e detectá-los o mais rápido possível se eles entrarem” para um dos “primeiros sistemas comprometidos devem ser o último”.

Todas as parcerias de patches, autenticação multifatorial e compartilhamento de inteligência do mundo não podem impedir ataques direcionados a infraestruturas críticas e sensíveis se continuarmos mantendo um modelo de computação ou rede em casca de ovo e confiando na detecção reativa para evitar danos.

Andrew Weir, da Cirrus Networks, sugere que “Como defensor, acertar as mitigações básicas pode evitar muitos danos posteriormente. Como parte interessada na segurança de sua organização, você não pode se dar ao luxo de ser complacente e deve considerar a criação de camadas coerentes de defesa de TIC. Entender como seus aplicativos funcionam e minimizar a superfície de ataque por meio da segmentação reduz significativamente as opções e o alcance disponíveis para um invasor quando ele consegue violar uma camada de suas defesas.”

A microssegmentação é simplesmente a aplicação do princípio Zero Trust de “privilégio mínimo”, que nega, por padrão, o tráfego de máquina a máquina e de aplicativo a aplicativo dentro de um data center (ou o tráfego de laptop para laptop, de estação de trabalho para estação de trabalho no espaço do cliente ou do funcionário) que não foi explicitamente autorizado. O planejamento além de um evento de violação muda a mentalidade de presumir que uma violação ocorrerá, mas evitar que o comprometimento de um sistema se espalhe para qualquer outro. Em outras palavras, praticar o princípio do menor privilégio garante que um malware mal-intencionado ou um agente mal-intencionado acesse o menor número possível de sistemas aplicando a mesma abordagem de confiança dentro e fora do nosso ambiente. O compromisso termina com o primeiro sistema adotado, pois não pode se espalhar para nenhum outro lugar.

Com a evolução da tecnologia de segmentação longe das formas tradicionais, complexas, caras e dependentes da infraestrutura de firewalls, SDN, EDR e NAC, agora é possível frustrar ou se opor significativamente aos invasores isolando e contendo aplicativos e protegendo equipamentos emitidos pela empresa.

Nosso recente relatório com a Bishop Fox não apenas destacou a eficácia da microssegmentação como controle de segurança, mas também revelou mudanças forçadas no comportamento por trás das estratégias de ataque que, sem conhecimento interno, podem não ser possíveis. A microssegmentação elevou os níveis de resistência e detecção a um grau que pode significar que as partes menos motivadas simplesmente desistiriam e desviariam a atenção para alvos mais fáceis. O relatório também destacou que o nível de detecção por meio de uma solução eficaz de microssegmentação aumenta drasticamente a eficiência da detecção e da resposta a incidentes, permitindo uma abordagem de “conter primeiro, fazer perguntas depois” para mantê-lo longe das manchetes.

A microsegmentação não é mais um recurso emergente ou uma solução de nicho disponível apenas para pessoas grandes e maduras o suficiente. Atualmente, ele deve ser considerado um recurso fundamental e essencial tanto para a agilidade da rede quanto para a segurança da informação. Como afirma a Forrester, uma das principais defensoras e definidoras de uma estrutura Zero Trust, no relatório The Forrester Wave™: Zero Trust eXtended (ZTX) Ecosystem Platform Providers, do quarto trimestre de 2019, “agora não há desculpa para não permitir a microssegmentação em nenhuma empresa ou infraestrutura. Não é mais uma questão de saber se você pode fazer isso.”

Weir, da Cirrus Networks, também enfatizou a necessidade contínua de soluções de segurança para facilitar o DevSecOps e impulsionar a simplicidade e a automação:” Durante muito tempo, investimos esforços significativos adicionando ferramentas e processos manuais aos aplicativos para protegê-los. Esses esforços, muitas vezes realizados isoladamente dos proprietários dos aplicativos, significam que erros de configuração e perda de tradução adicionam custo e tempo à implantação do aplicativo. Como profissionais de segurança da informação, devemos criar barreiras automatizadas e escaláveis para nossas equipes de aplicativos, que elas possam consumir em tempo real à medida que são implantadas. As organizações que efetivamente incorporam segurança em seus canais de implantação verão equipes mais rápidas e produtivas com uma mentalidade de segurança em primeiro lugar.”

Com o aumento de ataques rápidos e extremamente destrutivos, como o ransomware, que podem derrubar a infraestrutura global de TI das empresas em minutos, e o aumento da pressão e do interesse dos cibercriminosos e dos estados nacionais sobre as agências governamentais, a capacidade de conter a propagação de qualquer ataque não poderia ser mais urgente — e a oportunidade de fazer isso está mais acessível do que nunca.

Então, vamos permitir que as equipes de segurança se reorientem e meçam o sucesso de sua prática, deixando de manter os criminosos afastados, assumindo uma violação, mas tornando significativamente mais difícil controlá-la.

Pronto para ver os benefícios da microssegmentação? Inscreva-se hoje mesmo para um teste gratuito de 30 dias.